Controale ANSPDCP: Care sunt principalele probleme găsite la firmele sancționate în 2018

Raportul de activitate al ANSPDCP pe 2018 poate fi un punct de plecare foarte bun pentru firmele, instituțiile și persoanele ce prelucrează date personale și care vor să-și îmbunătățească practicile de prelucrare - toate, în ideea de a respecta cât mai bine întreaga legislație de protecția datelor (GDPR și normele adoptate la nivel național, în completare) și, firește, de a evita amenzi viitoare de la Autoritate.

Altfel spus, firmele pot învăța din greșelile altora, amendați în anul trecut de Autoritate pentru diverse probleme de protecția datelor.

De pildă, multe firme, dar și entități publice, au avut probleme în a respecta drepturile persoanelor ale căror date personale le prelucrau și în a le oferi informațiile pe care GDPR le dă dreptul să le obțină (dreptul de acces, dreptul de a fi informat cu privire la prelucrări ori dreptul de opoziție - în acest material sunt explicate lucrurile care pot fi cerute de persoana vizată).

Aici, constatarea generală a fost că operatorii de date nu cunosc foarte bine obligațiile pe care le au în raport cu cei cărora le prelucrează datele personale și că nu au adoptat măsuri organizatorice interne care să se dovedească eficiente pentru gestionarea cererilor adresate de persoanele vizate de prelucrări.

ANSPCDP a sancționat bănci și societăți comerciale care nu au răspuns cererilor formulate de persoanele vizate de prelucrări în termenul de 15 zile: cereri prin care întrebau cui au fost divulgate datele lor, ce date sunt prelucrate ș.a.m.d. Sau, dacă au răspuns, au făcut-o incomplet sau au încercat să se prevaleze de anumite motivări neacceptate de legislația de protecția datelor.

Un exemplu în acest sens: o bancă a refuzat să-i comunice unui client cui a transmis datele personale ale acestuia, motivând refuzul pe confidențialitatea în raport cu terții. ANSPDCP a spus că indicarea generală a unor destinatari (de genul: "pot fi transmise entităților de tipul X, Y, Z") în detrimentul uneia concrete e de natură să încalce dreptul persoanei vizate de prelucrări de a cunoaște la cine au ajuns datele sale.

Cât despre dreptul la opoziție, cel prin care persoana vizată transmite dezacordul său cu privire la respectivele prelucrări de date (de exemplu: persoana cere să nu mai primească diverse comunicări de la o firmă), ANSPDCP a amendat firmele care au făcut abstracție de cererile persoanelor de a nu mai fi contactate prin mesaje sau emailuri cu caracter comercial.

Dezvăluirea datelor personale în diverse circumstanțe

Potrivit raportului, o pondere însemnată în rândul petițiilor trimise ANSPDCP au avut-o cele legate de situații de dezvăluire a datelor personale către diverse entități/terțe persoane, inclusiv publicului larg.

De pildă: publicarea online a unei plângeri penale cu toate datele personale la vedere, fără să fie anonimizate, transmiterea de către o autoritate publică unui dezvoltator imobiliar a datelor personale ale celor care făcuseră plângere contra dezvoltatorului, transmiterea unor emailuri în care sunt vizibile toate adresele de e-mail ale destinatarilor ș.a

Aici, problema e de dezvăluire neautorizată a acestor date. ANSPDCP a punctat în raport că necunoașterea regulilor de protecția datelor a stat adesea la baza diseminării unor date personale fără permisiunea celor vizați.

Comunicările comerciale: ANSPDCP vrea să vadă dovada unui consimțământ prealabil și neechivoc

Autoritatea a punctat în raport că a amendat de fiecare dată companiile care nu au putut face dovada unui consimțământ prealabil și reciproc pentru comunicările comerciale trimise de firmă unei persoane prin sms sau e-mail. În acest context, a subliniat încă o dată importanța respectării manifestării dreptului de opoziție - persoana cere să nu mai fie contactată, așadar, nu mai trebuie contactată.

Atenție, angajatori!

În domeniul prelucrărilor de date personale, ANSPDCP a sancționat angajatorii în materia monitorizărilor de la locul de muncă. Recomandarea către angajatori este ca instalarea unui sistem de supraveghere video la muncă să fie însoțită de o informare cât se poate de clară în privința scopului utilizării sistemului și a drepturilor angajaților în acest sens.

Valabilă și în privința montării sistemelor de supraveghere în alte circumstanțe, ANSPDCP reamintește că e necesar ca accesul la imagini să nu fie făcut decât de către persoanele autorizate, dinainte desemnate.

De asemenea, trebuie stabilită o perioadă de stocare a datelor personale, raportat la scopul prelucrării.

Un alt caz pe care-l găsim în raportul ANSPDCP este al unui angajator sancționat pentru că a divulgat neautorizat de salariatul său date dintr-un raport de medicina muncii, în cadrul unui proces cu minori în care era implicat salariatul. Problema: acesta nu și-a dat niciodată consimțământul pentru acest lucru.

Întâlnim, de asemenea, și o firmă sancționată pentru că a permis unui sistem să facă vizibile datele personale a cca. 5.000 de persoane (angajați, foști angajați, parteneri comerciali etc.) tuturor celor ce lucrau în firma respectivă.

"În anul 2018, o parte din plângerile și sesizările ce au fost adresate Autorității Naţionale de Supraveghere au avut ca obiect fie dezvăluirea datelor personale către terțe persoane, fie accesarea neautorizată a datelor personale (inclusiv de către angajații proprii), ca urmare a faptului că operatorii în cauză (comercianți, autorități publice, furnizori de servicii de telefonie, clinici medicale etc.) nu au implementat proceduri interne eficiente, de ordin tehnic sau organizatoric, care să conducă la prevenirea unor astfel de probleme", subliniază ANSPDCP în raportul său.